Teknologia

Lähes kaikilla suomalaisilla nettisivuilla on turvallisuuspuute, johon Ruotsissa ja Norjassa on puututtu tehokkaasti – ”Olemme jääneet pahasti jälkeen”, sanoo asiantuntija

Tilanteeseen olisi tarjolla ratkaisu, joka on kuitenkin käytössä vain aniharvalla verkkotunnusvälittäjällä ja internetyhteyden tarjoajalla.

Periaatteessa lähes kaikki suomalaiset nettisivustot voisivat olla väärennettyjä, eivätkä tavalliset netinkäyttäjät huomaisi sitä yhtään mistään.

Tämä onnistuu kaappaamalla netissä salaamattomana kulkevaa niin sanottua nimipalvelin-liikennettä, kertoo johtava asiantuntija Juhani Juselius Liikenne- ja viestintävirastosta.

”Tästä on maailmalla videoita, joissa näkyy, kuinka se on ihan muutaman minuutin homma, jos osaa asian.”

Tällaisessa tilanteessa netinkäyttäjä saattaisi esimerkiksi asioida verkkokaupassa, joka näyttää täysin samalta kuin aito sivusto aina osoiteriviä myöten. Tosiasiassa hän kuitenkin syöttäisi ostaessaan luottokorttitietonsa väärennetylle sivustolle, josta verkkorikollinen saisi ne käyttöönsä.

Tai joku ulkopuolinen taho voi ohjata sähköpostiliikenteen kulkemaan ylimääräisen palvelimen kautta, jolloin se voi seurata kaikkea viestittelyä.

Nimipalvelin-liikenteen kaappaukset ovat kuitenkin todella harvinaisia. Suomessa tiedossa ei ole yhtään tapausta, Juselius kertoo.

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen puolestaan tietää maailmalta ainoastaan valtiollisten toimijoiden tekemiä nimipalvelinkaappauksia.

Kummallakaan ei ole suoraa vastausta siihen, miksi niitä ei nähdä nykyistä enempää.

”Ehkä se ei vain ole niin kauhean tyypillinen työkalu hyökkääjien työkalupakissa. Löytyy helpompia ja halvempia tapoja tehdä verkkohyökkäyksiä, joten miksi tehdä vaikea ja kallis hyökkäys?” Hyppönen pohtii.

”Tässä mielessä ongelma ei ole netin käyttäjän kannalta iso”, Juselius sanoo.

Tilanteeseen olisi joka tapauksessa ratkaisu, se ei vain ole suomalaisilla verkkotunnusvälittäjillä eikä internetyhteyden tarjoajilla juurikaan käytössä.

Ratkaisun nimi on DNSsec.

”Se on tietoturvalaajennus, jonka avulla voidaan varmistaa, että nimipalvelimen vastaus on taatusti oikea. Sitä ei pysty muuttamaan huomaamatta”, Juselius kertoo.

Toistaiseksi DNSsec on kuitenkin käytössä vain alle 2 prosentissa .fi-päätteisiä sivustoja, ja hiukan yli 7 prosenttia kaikesta internetliikenteestä Suomessa on DNSsecillä varmistettua, selviää Liikenne- ja viestintäviraston tilastoista.

Toisin sanoen noin 98 prosenttia suomalaisista nettisivustoista ja pitkälti yli 90 prosenttia nettiliikenteestä on kunnolla suojaamatonta.

Ruotsissa ja Norjassa noin 60 prosentilla sivustoista on DNSsec käytössä ja internetliikenteestä noin 80 prosenttia on DNSsecillä varmistettua.

”Ero on valtava. Olemme jääneet pahasti jälkeen. Afrikassakin keskiarvo internetliikenteen varmistamisessa on jo yli 20 prosenttia.”

”Kokonaisuutena tietoturvan taso Suomessa on korkea ja verkkomme puhtaat. Tämä on tärkeä, mutta yksittäinen heikko kohtamme.”

Tästä linkistä voi tarkistella, kuinka suuri osuus internetliikenteestä on varmistettua eri puolella maailmaa.

Mistä siis oikein on kyse?

DNS eli Domain name system on internetin nimipalvelujärjestelmä. Se muuttaa verkkotunnuksia eli nettisivustojen nimiä (esimerkiksi hs.fi, kela.fi tai hel.fi) IP-osoitteiksi, jotka ovat puolestaan numerosarjoja.

”Kun kirjoitat nettisivuston osoitteen tai sähköpostin vastaanottajan osoitteen ja painat enteriä, niin siinä vaiheessa mikään ei vielä avaudu tai lähde, vaan kone tekee nimipalvelinkyselyn.”

Nimipalvelinkysely tapahtuu vaiheittain.

Ensin kone ottaa yhteyttä resolveri-nimipalvelimeen. Sen tarjoaa tavallisesti yhtiö, jolta nettiyhteys on ostettu. Suomessa resolveri-nimipalvelimia ylläpitävät muun muassa teleoperaattorit Dna, Elisa ja Telia.

Resolveri ryhtyy puolestaan selvittämään osoiteriville kirjoitettua nimeä.

Aluksi se ottaa yhteyttä internetin juurinimipalvelimiin, joista selviää, missä sijaitsevat .fi-loppuiset sivustot. Seuraavaksi se ottaa yhteyttä .fi-juuren nimipalvelimiin, joita ylläpitää Liikenne- ja viestintävirasto.

Viraston nimipalvelin puolestaan kertoo tiedot siitä osuudesta osoitteen nimeä, joka lukee ennen .fi-päätettä.

Tällä tiedolla resolveri osaa ottaa yhteyttä kyseiseen sivuston nimipalvelimeen. Sieltä sivuston numeromuodossa oleva IP-osoite kulkeutuu resolverin kautta käyttäjän laitteelle.

Vasta tässä vaiheessa sivusto aukeaa tai sähköposti lähtee matkaan.

”Tämä kaikki tapahtuu millisekunneissa.”

DNS- eli nimipalveluliikenne on kuitenkin kokonaisuudessaan haavoittuvaista.

”Se kulkee internetissä täysin salaamattomana. Jos joku taho pääsee yhteyteen käsiksi, se voi hyvinkin muuttaa nimipalvelimien vastauksia. Myös resolverien välimuistin muuttaminen on mahdollista.”

DNSsec muuttaa tilanteen tiivistettynä siten, että nimipalvelimella oleva tietoon tulee aina yksityisellä ja salaisella avaimella tehty digitaalinen allekirjoitus, jonka aitouden nimipalveluhierarkiassa seuraavana oleva taho varmistaa julkisella avaimella.

”Varmistus-allekirjoitus-ketju menee tasolta tasolta ylemmäs. Jos se varmistetaan alusta loppuun, eli kaikki DNS-allekirjoitukset ovat aitoja, käyttäjä voi luottaa täysin siihen, mitä nimipalvelimet väittävät.”

Tämä vaatii ennen kaikkea sitä, että suomalaiset internetyhteyden tarjoajat ja verkkotunnusvälittäjät ottavat DNSsecin käyttöön.

”Ne vastaavat DNSsecin käyttöönotosta. Tavallisen netin käyttäjän ei tarvitse tehdä mitään”, Juselius painottaa.

”Ihannetilanne olisi se, että heidän ei tarvitsisi edes tuntea koko termiä. Jos kaikki käyttäisivät sitä, niin koko asiaa ei tarvitsisi miettiä. Jos joku pääsisi liikenteeseen väliin, interyhteyden tarjoaja pysäyttäisi automaattisesti tällaisen nimipalvelukyselyn eikä se pääsisi eteenpäin.”

Netin käyttäjä ei siis voisi joutua väärennetylle sivustolle, vaan olisi varmasti sillä sivustolla, jolla uskookin olevansa.

”Joissakin maissa resolveri-tietoja muutetaan ihan tarkoituksella, jotta ihmiset eivät pääse tietyille sivustoille. Onneksi erilaisia uhkakuvia ei ole kuitenkaan toteutunut hirveästi.”

Tällä hetkellä jokainen voi varmistaa, onko oma internetyhteys DNSsec-varmistettu muun muassa tästä linkistä.

Yksittäisen verkkotunnuksen DNSsec-allekirjoituksen voi puolestaan tarkistaa Liikenne- ja viestintäviraston sivuilla tästä linkistä.

Liikenne- ja viestintävirasto otti DNSsecin käyttöön 2011, ja on tarjonnut sitä maksutta .fi-verkkotunnusten käyttäjille vuodesta 2012.

Miksi DNSsec on silti edelleen niin vähän käytössä Suomessa?

Siihen on Juseliuksen mukaan neljä keskeistä syytä.

1. Sivustojen ja liikenteen varmistamiseen käytettäviä yksityisiä ja julkisia avaimia pitää vaihtaa määräajoin, koska ne vanhenevat.

”Ihmisiä pelottaa, että he unohtavat vaihdon tai tekevät sen väärin. Mutta jos on uusimmat ohjelmistot käytössä, tämäkin on nykyään täysin automatisoitua. Vanha uskomus elää silti vielä.”

2. Monilla verkkotunnusvälittäjillä ja internetyhteyden tarjoajilla on vanhentuneita ohjelmistoja, jotka eivät tue DNSseciä.

”Tämä on suurin syy. Ei ole nähty tarvetta DNSsecin takia lähteä päivittämään ohjelmistoja. Mutta jos ohjelmistot ovat ajan tasalla, DNSsec ei edes tuo merkittävää lisätyömäärää.”

3. Liikenne- ja viestintävirasto ei ole onnistunut saamaan viestiä asiasta perille tarpeeksi hyvin.

”Olemme viestineet niin paljon kuin olemme pystyneet. Mutta esimerkiksi Ruotsissa on viestitty paljon enemmän. Vuosi sitten ruotsalaisissa maito­purkeissakin mainostettiin DNSseciä.”

4. Internetyhteyden tarjoajia ja verkkotunnusvälittäjiä arveluttaa, että DNSsec on taas yksi liikkuva osa lisää. Jos siitä aiheutuu teknisiä ongelmia, asiakkaat vaihtavat kilpailijoille, joilla ei ole DNSseciä käytössä.

Viimeisen kohdan takia Liikenne- ja viestintävirasto on julistanut ensi viikon torstain DNSsec Launch dayksi. Tarkoitus on, että mahdollisimman moni yritys ottaisi silloin DNSsecin käyttöön.

Näin käyttöönotto tapahtuisi mahdollisimman monessa paikassa yhtä aikaa.

Liikenne- ja viestintävirasto myös julkaisee sivuillaan internetyhteyden tarjoajia ja verkkotunnusvälittäjiä, jotka ovat sitoutuneet DNSsecin käyttöönottoon. Listaa pääsee katselemaan tästä linkistä.

”Jos jollakulla sitten tulee teknisiä ongelmia, voidaan todeta, että ollaan kaikki samassa veneessä yhteisen hyvän asian eteen.”

Suomen suurimmista internetyhteyden tarjoajista toistaiseksi ainoastaan Dna on ilmoittanut lähtevänsä mukaan, Juselius kertoo.

”Positiivisessa hengessä toivotaan, että myös Elisa ja Telia tulisivat mukaan. Ruotsissa Telialla on DNSsec-varmistus käytössä.”

Kommentit

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Ei vielä nimellä kirjoitettuja kommentteja. Kirjoita ensimmäinen.

    Näytä lisää



    HS:n kommentointien äänestäminen on muuttunut: nyt vain kirjautuneet käyttäjät voivat antaa kommentille hyvin argumentoitu -äänen.
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Selvitysmies tuhoaisi Juha Sipilän luomuksen: valtio saisi kahden miljardin euron varat takaisin

    2. 2

      Boris Johnsonille täydellinen nöyryytys Luxemburgissa: jätti tiedotustilaisuuden väliin ilmeisesti siksi, ettei olisi buuaukselta saanut ääntään kuuluviin

    3. 3

      Suomalaiset saavat liian vähän folaattia, vaikka se saattaa torjua Alzheimerin tautia ja masennusta – Nämä ovat tärkeimmät folaatin lähteet

    4. 4

      Norwichin omistajat kertoivat voitonjuhlista City-ottelun jälkeen: ”Alkoholia kului paljon”, ”siis oikeasti, saimme Teemu Pukin ilmaiseksi”

    5. 5

      Ihmisen ei kuulu olla väsynyt – Uni­lääkärin mukaan moni uneton tekee illalla saman virheen

      Tilaajille
    6. 6

      Poliisi julkaisi kuvan: Miehet murtautuivat asuntoon ja kävivät omistajan päälle keskellä päivää Sipoossa

    7. 7

      Avaruudesta löytyi pääkaupunkiseudun kokoinen kuollut tähti, joka painaa niin paljon, etteivät sen atomit pysy kasassa

    8. 8

      Ratikkakuski Dane Jozsefin oivallus johti upeaan hääkuvaan: ”Tuli aivan positiivinen fiilis, että nyt tein oikein”

    9. 9

      Mol.fi-työpaikkasivusto jäi ajastaan jälkeen, lähiaikoina avattavan uuden palvelun luvataan mullistavan suomalaisen työelämän

    10. 10

      Hallituksessa on viriämässä kova poliittinen taisto Kelan johtajasta

    11. Näytä lisää
    1. 1

      Ihmisen ei kuulu olla väsynyt – Uni­lääkärin mukaan moni uneton tekee illalla saman virheen

      Tilaajille
    2. 2

      Suomalaiset saavat liian vähän folaattia, vaikka se saattaa torjua Alzheimerin tautia ja masennusta – Nämä ovat tärkeimmät folaatin lähteet

    3. 3

      Poliisi julkaisi kuvan: Miehet murtautuivat asuntoon ja kävivät omistajan päälle keskellä päivää Sipoossa

    4. 4

      Ratikkakuski Dane Jozsefin oivallus johti upeaan hääkuvaan: ”Tuli aivan positiivinen fiilis, että nyt tein oikein”

    5. 5

      Lankku on teho­liike, mutta nämä 5 muunnelmaa ovat vielä tehokkaampia

      Tilaajille
    6. 6

      Nämä kuvat osoittavat, että iskut Saudi-Arabian öljy­laitoksiin tehtiin Iranin tai Irakin suunnasta, sanoo Yhdysvallat – Mutta kuvista ilmenee myös risti­riitaisuus

    7. 7

      Näin kodin viikko­siivous sujuu kahdeksan sijaan 1,5 tunnissa – Kansalais­opistojen opettajat kertovat, miten arkea voi helpottaa

    8. 8

      Kasperi Saari, 67, harrastaa hotellien omistamista, ja pian hän avaa Helsinkiin maailman suurimman ketjun huippu­hotellin

      Tilaajille
    9. 9

      Neljä vuotta sitten Vantaan Kivistö herätti innostusta: tuhansittain asuntoja ja Redin kokoinen kauppa­keskus – Vaan miten kävi?

      Tilaajille
    10. 10

      Miljonääri liittyi perus­suomalaisiin Jussi Halla-ahon perässä, ja nyt ”Tampereen Trump” ilmentää puolueen muutosta

    11. Näytä lisää
    1. 1

      Sadattuhannet kodit uhkaavat menettää arvonsa – Suomeen on kehittynyt kahdet asunto­markkinat, ja asian­tuntijan mukaan enää kolme aluetta on turvassa

      Tilaajille
    2. 2

      Teini-ikäinen kilpauimari hylättiin liian paljastavan uima­puvun vuoksi Yhdys­valloissa – käytti samaa asua kuin kaikki muutkin

    3. 3

      Joukko suomalaisnaisia riisuuntui kameralle kertoakseen kehohäpeästä ja sen kukistamisesta – ”Olen yhä keskeneräinen, mutta sairaudesta olen päässyt”

      Tilaajille
    4. 4

      Seitsemän vuoden parisuhdekriisi on vanhentunut käsite: On olemassa toinen hetki, jolloin eroriski kasvaa selvästi

      Tilaajille
    5. 5

      Maailman parhaat luontokuvat valitaan taas kymmenientuhansien kuvien joukosta: HS näyttää 14 huippuotosta

    6. 6

      Miljonääri liittyi perus­suomalaisiin Jussi Halla-ahon perässä, ja nyt ”Tampereen Trump” ilmentää puolueen muutosta

    7. 7

      Suoliston bakteerit määrittävät, miten ihminen voi, ja niitä ohjaa ravintomme – Suomalainen huippu­tutkija kertoo, millaista ruoka­valiota bakteerit janoavat

      Tilaajille
    8. 8

      Suomella on työhullu ulkoministeri, joka lähettää alaisille sähköpostia keskellä yötä ja joka puuhasi ensitöikseen yhden rauhansopimuksen

    9. 9

      Juutalaisvainoista kertova elokuva järkytti festivaalikatsojia, kymmeniä ihmisiä käveli ulos kesken näytöksen

    10. 10

      Ratsastajat ovat aiempaa isompia, ja moni talli on päätynyt asettamaan paino­rajoja: ”Aihe on monelle yli 40-vuotiaalle naiselle hirvittävän herkkä”

      Tilaajille
    11. Näytä lisää